我正在使用/oauth2/logout端点按照here所述将用户从fusionauth中注销。
我知道JWT在它到期之前一直有效,如果需要,我们可以在到期前使用webhooks使它失效。但是,我们是否需要显式地使发放给用户的任何刷新令牌到期,或者Fusionauth自动使它们无效?
答案 0 :(得分:2)
OAuth2核心规范不包括令牌撤销。但是,已通过对标准的“扩展”来指定吊销令牌(请参见RFC7009)。
问题是,API提供程序通常在其API中不包含URL以处理令牌吊销。他们主要依靠access_token到期。
这样说,I've found this issue仅适用于FusionAuth,解释了为什么它不受广泛支持。